HuMachine
Wie wir Anfang des Jahres bereits erwähnt haben, sind unabhängige Tests für uns kein Anhaltspunkt für die Effektivität unserer Sicherheitslösungen, sondern viel mehr ein Tool, um unsere Technologien zu verbessern. Deshalb veröffentlichen wir nur selten Berichte, die mit unseren Testerfolgen zu tun haben – und das trotz der Höchstleistungen unserer Produkte. Dennoch sind wir der Meinung, dass die Advanced-Threat-Defense-Zertifizierung, die das Prüflabor von ISCA Labs durchführt, eine Erwähnung wert ist.
Unsere Kaspersky Anti-Targeted-Attack-Plattform hat 3 aufeinanderfolgende Quartale an dieser Zertifizierung teilgenommen und zeigte in der jüngsten hervorragende Ergebnisse – 100%ige Bedrohungserkennung und 0 Falschmeldungen. Warum ist das für Firmenkunden wichtig und was steckt hinter diesen beeindruckenden Zahlen?
Zertifizierung
ISCA Labs zufolge ist das Ziel dieser Zertifizierung, festzulegen, wie effektiv die unterschiedlichen Sicherheitslösungen gegen die jüngsten Cyberbedrohungen sind. Unter den „jüngsten“ Bedrohungen versteht ISCA solche, die nicht von der Mehrheit traditioneller Lösungen entdeckt werden. Bei der Auswahl der Testszenarien verließen sie sich auf den Verizon Data Breach Investigation Report (DBIR). Das Testkit besteht daher einerseits aus den „beliebtesten“ Bedrohungen; andererseits wird die Bedrohungsauswahl jedes Quartal neu getroffen, genauso wie sich auch die Bedrohungen selbst kontinuierlich verändern.
Das erlaubt ISCA die Dynamiken der Lösungsleistungen zu analysieren. Genauer gesagt: ein gutes Testergebnis in einem der Tests ist kein Anhaltspunkt für Wirksamkeit. Wenn ein Produkt allerdings gute Ergebnisse, unabhängig von den regulären Veränderungen der Bedrohungsmuster, zeigt, ist dies ein klares Zeichen für Effektivität.
Gleichzeitig enthält der Verizon-Bericht Daten über Cybervorfälle, die in Enterprise-Class-Unternehmen vorgefallen sind. Deshalb handelt es sich hierbei auch nicht nur um die bekanntesten und relevantesten Angriffsvektoren – sondern um Bedrohungen, die von Cyberkriminellen im Kampf gegen große Unternehmen genutzt werden.
Die jüngsten Ergebnisse
Die jüngste Studie wurde im zweiten Quartal dieses Jahres durchgeführt; die Ergebnisse wurden im Juli 2017 bekannt gegeben. Experten von ISCA Labs kreierten für jeden der Teilnehmer eine Test-Infrastruktur, die von einer spezialisierten Lösung geschützt wurde. Daraufhin wurden innerhalb von 37 Tagen verschiedene Angriffe auf diese Infrastruktur simuliert. Insgesamt wurden mehr als 1100 Tests mit 600 Malwaremustern durchgeführt: und unsere spezialisierte Lösung hat alle Muster erfolgreich erkannt. Zudem hat Kaspersky Anti-Targeted Attack die volle Punktzahl im Bereich der Falschmeldungen erhalten: ISCA-Labs-Experten gaben mehr als 500 „saubere“ Muster frei, die sich lediglich als bösartig ausgaben; und unsere Lösung ist auf keines dieser Muster hineingefallen.
ISCA Labs führt keine Vergleichstest durch, weshalb auch keine zusammenfassenden Ergebnistabellen veröffentlicht werden. Deshalb haben wir unsere eigenen Tabellen, basierend auf den öffentlichten Daten, erstellt, die Sie hier finden können.
Wie wir das geschafft haben?
Unsere Produkte, und insbesondere die Kaspersky Anti-Targeted-Attack-Plattform, nutzen einen mehrstufigen Ansatz zur Bedrohungserkennung. Es gibt statische Analysemechanismen, konfigurierbare YARA-Regeln, einzigartige SNORT-Regeln für die IDS-Engine, Zertifikatsüberprüfungsmechanismen, Datei- und Domänenreputationsüberprüfungen über die globale Bedrohungsbasis (KSN), Tools für die fortgeschrittene dynamische Analyse in einer isolierten Umgebung (Sandbox) und ein Motor des maschinellen Lernens: der Targeted Attacks Analyzer. Die Kombination dieser Tools von Kaspersky Anti-Targeted Attack ermöglicht es, sowohl bekannte als auch noch unbekannte bösartige Technologien zu identifizieren.
Der „Targeted Attacks Analyzer“ ist der zentrale analytische Kerne. Basierend auf maschinellem Lernen, erlaubt er der Kaspersky-Anti-Targeted-Attack-Plattform nicht nur Informationen verschiedener Erkennungsebenen zu vergleichen, sondern auch erfolgreich Anomalien im Verhalten des Netzwerks und der Workstation zu erkennen. Die Verhaltensanalyse kann Abweichungen erkennen, die darauf hinweisen, dass eine Attacke ohne den Gebrauch bösartiger Software im Gange ist. Das könnte zum Beispiel ein Angriff sein, der mit dem Gebrauch von legitimer Software, gestohlenen Anmeldeinformationen oder durch Löcher in der IT-Infrastruktur durchgeführt wird.
Trotzdem ist die Bedrohungserkennung allein nicht ausreichend. Wenn ein Produkt alles blockiert, stoppt es zwar 100% der Bedrohungen, aber auch legitime Programme können so nicht funktionieren. Deshalb ist es besonders wichtig ohne Falschmeldungen zu arbeiten. Unsere Technologien erlauben es uns durch das HuMachine-Intelligenzprinzip sichere Prozesse zu definieren. Die richtige Balance zwischen der Erkennungsebene und der Anzahl der Falschmeldungen besteht aus 3 Elementen:
- Big Data (wir verfügen über eine riesige Informationsdatenbank von Bedrohungen, die mehr als 20 Jahre lang zusammengetragen und vom Kaspersky Security Network in Echtzeit und mit Informationen unserer Lösungen aktualisiert wurde)
- Erweiterte maschinelle Lerntechnologien, die diese Daten analysieren;
- Erfahrene Forscher, die, falls nötig, den Motor des maschinellen Lernens korrigieren und lenken.
Wir können also sagen, dass die Ergebnisse der ISCA-Zertifizierungen in vieler Hinsicht das Ergebnis der Anwendung des HuMachine-Prinzips ist.
Um mehr über die Anti-Targeted-Attack-Plattform von Kaspersky zu erfahren, besuchen Sie diese Webseite.
Tipps